Titre de l'article : Evolution des normes ISO 17799 et ISO27001 (BS7799-2)
Auteur : Marc Behar, fondateur XMCO
Courriel : marc.behar@xmco.fr
Date : Avril 2006
Version complète en PDF : Actu Sécurité Avril 2006
Sections :
La naissance d'une norme de sécurité de l'information
 Enfin une norme certifiante
Les normes ISO 17799 et ISO27001 (BS7799-2)
L'évolution de BS7799 à l'ISO17799
 La norme ISO27001 (BS7799-2)


>Evolution des normes ISO 17799 et ISO27001 (BS7799-2)

Les normes liées à la sécurité informatique évoluent continuellement et donnent naissance à la première certification dans le domaine. Les acteurs financiers, les clients et les partenaires des grandes entreprises accueillent cette nouvelle avec un grand intérêt car elle représente une garantie supplémentaire.

La naissance d'une norme de sécurité de l'information

Les normes ISO 17799 et ISO27001 (BS7799-2)

Les normes ISO sont, depuis près de 10 ans, la référence en matière de sécurité. Un grand nombre d'entreprises tournées vers l'exportation et l'international ont ressenti la nécessité d'établir des référentiels mondiaux de sécurité. Ceci afin d'établir un climat de confiance auprès des clients et des partenaires méfiants. Les normes ISO sont apparues. Elles sont désormais gérées par une Organisation non gouvernementale qui fédère des organismes nationaux et s'occupe d'édicter des normes internationales.

Il est important de connaître les différents standards qui définissent les normes de certification d'une organisation en sécurité des systèmes d'informations. C'est pourquoi nous expliquerons les grandes lignes des normes ISO17799 et ISO27001 (BS7799-2). Ces dernières ont été mises en place pour préciser les mesures et les méthodes de management d'un système d'information.

BSI

L'évolution de BS7799 à l'ISO17799

Evolution

La norme anglaise BS7799 est à l'origine de cette norme ISO. Créée en 1995 par le British Standard Institute (équivalent de l'AFNOR en France), cette norme instaure des standards de qualité et de performance pour l'industrie. En 1999, elle connaît un succès international et est adoptée en tant que ISO/IEC 17799 :V2000. Seuls des pratiques et des contrôles sont édictés par ce texte. Aucune référence à une quelconque certification n'y est mentionnée.

Un an plus tard, une révision sera effectuée afin d'uniformiser l'environnement de la sécurité informatique. Elle aboutira, en mars 2005, à la version 2 de la norme ISO 17799.

Concrètement, l'ISO 17799 se distingue par sa reconnaissance et sa diffusion mondiale auprès des plus grands comptes. Cependant, elle ne définit aucune exigence (matérielle ou logicielle) et est, de ce fait, remise en question. Elle est donc censée donner une certification véritable avec la version BS 7799-2.

La norme ISO 17799 se compose de 10 chapitres. De nombreux points importants y sont abordés :

  • 3 chapitres sont dédiés au management de la sécurité des informations (les politiques de sécurité, l'organisation, la classification et le contrôle).
  • 2 chapitres sur la sécurité du personnel (contrôle lors du recrutement, formation et sensibilisation…) et sur la sécurité physique (équipements et périmètre de sécurité…).
  • 5 chapitres sur le développement de l'exploitation des systèmes d'information (contrôles d'accès, développement et maintenance des systèmes, gestion de la continuité…).

Chaque chapitre est articulé autour de plusieurs points : les objectifs, les mesures à mettre en oeuvre, les recommandations et les contrôles à effectuer. L'ISO 17799 est donc une sorte d'inventaire des bonnes pratiques et des points importants à vérifier au sein d'un système d'information.

Enfin une norme certifiante

La norme ISO27001 (BS7799-2)

En octobre 2005, le standard BS 7799-2 est adopté par l'ISO. Il introduit le nouveau standard international ISO/IEC 27001:2005.

Plus qu'un simple guide, la version BS7799-2 s'occupe, quant à elle, de présenter et de définir les méthodes à appliquer pour assurer une bonne gestion de la sécurité. Elle ne s'assure pas de l'efficacité des moyens mis en oeuvre mais de l'existence réelle de ceux-ci. Une démarche PDCA (Plan, Do, Check, Act) également appelée "roue de Deming" précise les étapes de l'application des mesures de sécurité (voir schéma ci-dessous).

Depuis Mars 2005, la certification BS7799-2 est enfin possible. Elle garantit qu'une entreprise a mis tous les moyens en place pour maîtriser son système d'information. Elle assure ainsi une crédibilité et une confiance certaine auprès des clients.

Celle-ci est basée sur deux étapes : une étude de la documentation de l'entreprise auditée et une vérification de la gestion mis en oeuvre afin d'assurer la sécurité du système. Les entreprises qui adoptent l'ISO 27001 sont libres de choisir les contrôles spécifiques adaptés aux besoins et aux risques de chacun. Près de 1800 sociétés ont ainsi été certifiées au standard BS 7799 part 2 (ou les équivalents nationaux). Ce besoin se développe considérablement.

iso17799
Schéma provenant du site http://www.ysosecure.com

A noter, que cette certification n'est pas imposée comme la loi Sarbannes-Oxley (voir numéro 1 du mois de Mars d'"Actu Sécurité"). Cependant, les partenaires et les clients sont de plus en plus attentifs à ces normes car elles sont sources de crédibilité.

La certification est importante dans une entreprise car elle donne une dimension sure et internationale. Toute certification se définie comme une méthode qui atteste, par l'intermédiaire d'une vérification indépendante et neutre, qu'un système répond aux normes de qualité. Malgré l'engouement pour ces certifications, peu d'organismes français permettent de certifier BS7799-2 (LSTI est le principal acteur dans ce domaine).




Actualite Securite

Version complète en PDF

> Autres articles

+ Tous les articles

+ Article "Sarbanes-Oxley"



> Le cabinet XMCO

+ La société

+ Contacts